9月26
以前有写过一篇关于access安全的文章,但总觉得有不足,经过测试研究后,重新写出来,欢迎大家进行讨论。 
首先我们知道常见的傻瓜式入侵ASP网站下载默认数据库是其中一个方法,挖掘机挖掘大量的网站,寻找网站中存在的默认数据库。数据库作为一个动态网站最重要的核心,里面记录了大量信息。作为一名入侵者,拿到数据库就等于拿到网站的权限了,轻则泄露数据,重则影响网站乃至整个服务器的安全。
ASP ACCESS的网站结构是网上最流行的架构方式之一,几乎的站长使用的都是别人的网站系统,很多人都忽略了修改默认数据库,从而导致入侵者有入侵的机会。
在入侵ASP ACCESS网站系统中,直接下载数据库、使用一句话木马是最常见的方法,其中直接下载数据库包括了通过暴库和直接下载默认数据库来得到数据库路径,插入一句话木马是针对得到数据库地址,并且是ASP或者ASA为扩展名的数据库。
所以网上流传的修改数据库扩展名为ASP和ASA不是一个最安全的方法,反而被入侵者知道路径后,是一个致命的错。而将数据库名加上#也并非安全的做法。
首先我们知道常见的傻瓜式入侵ASP网站下载默认数据库是其中一个方法,挖掘机挖掘大量的网站,寻找网站中存在的默认数据库。数据库作为一个动态网站最重要的核心,里面记录了大量信息。作为一名入侵者,拿到数据库就等于拿到网站的权限了,轻则泄露数据,重则影响网站乃至整个服务器的安全。
ASP ACCESS的网站结构是网上最流行的架构方式之一,几乎的站长使用的都是别人的网站系统,很多人都忽略了修改默认数据库,从而导致入侵者有入侵的机会。
在入侵ASP ACCESS网站系统中,直接下载数据库、使用一句话木马是最常见的方法,其中直接下载数据库包括了通过暴库和直接下载默认数据库来得到数据库路径,插入一句话木马是针对得到数据库地址,并且是ASP或者ASA为扩展名的数据库。
所以网上流传的修改数据库扩展名为ASP和ASA不是一个最安全的方法,反而被入侵者知道路径后,是一个致命的错。而将数据库名加上#也并非安全的做法。
9月26
今天有个同事提到了UrlRewrite技术,晚上研究了下,把它写出来和大家分享下。UrlRewrite即地址变换。它可以实现静态功能方便搜索引擎收录,比如http://***/news.asp?id=11它可以变为htt://***/news-11.html。这样还实现了开发标记隐藏,避免了每个页面都挂了.asp、.php等后缀,提高了网站的安全性。
IIS默认是不支持这个功能的,需要单独安装插件,今天网上看了很多教程,综合起来加上自己研究才终于把它试成功了。测试环境:Windows XP IIS 5.0。
我们第一步做的是下载IIS UrlRewrite插件,到http://www.helicontech.com/download-isapi_rewrite3.htm下一个ISAPI_Rewrite 3 Lite installation package(精简版)的测试就满足了(根据你自己)。下载好后安装ISAPI_Rewrite3_0048_Lite.msi。
安装完毕后打开IIS,在WEB属性的“ISAPI筛选器”里添加位于安装目录的Helicon\ISAPI_Rewrite3文件夹里的ISAPI_Rewrite.dll,名称就随便定了,如图:
IIS默认是不支持这个功能的,需要单独安装插件,今天网上看了很多教程,综合起来加上自己研究才终于把它试成功了。测试环境:Windows XP IIS 5.0。
我们第一步做的是下载IIS UrlRewrite插件,到http://www.helicontech.com/download-isapi_rewrite3.htm下一个ISAPI_Rewrite 3 Lite installation package(精简版)的测试就满足了(根据你自己)。下载好后安装ISAPI_Rewrite3_0048_Lite.msi。
安装完毕后打开IIS,在WEB属性的“ISAPI筛选器”里添加位于安装目录的Helicon\ISAPI_Rewrite3文件夹里的ISAPI_Rewrite.dll,名称就随便定了,如图:
9月26
受一哥们邀请,有幸到厦门参加了"中国第三届站长大会",并主持了一场小论坛: 我们如何找到投资。参与论坛的6位嘉宾都是我尊敬的年轻翘楚,新一代互联网领袖。我中间一个问题是:赢得投资的关键要素是什么?他们的演讲非常精彩,赢得现场掌声无数,我个人也受益非浅,特此记录于此,与诸君分享。
1、庞升东 - 51.com创始人
此君胸怀大志,做事大开大合,敢打敢干,是新一代互联网枭雄。据说,他24岁即成为百万富翁,创立51之前,一掷98万购得51域名,再个人投入上千万前期资金打造51流量。第一轮融资获得红杉和SIG共计600万美圆投资,第二轮投资也不日即将结束。
庞君的融资心得是:第一,要看你所在行业的市场规模总共有多大,以及你自己能够赢得多少分额;第二,你能够赢得多大蛋糕取决于你的团队实力;第三,凡是预则立,融资前一定要作好准备。庞君甚至分享了他吸引VC注意的一些小技巧:参与某投资会议,把介绍自己项目的几页纸放在一个FOUNDER里,逐一放到头两排嘉宾的桌面上,他们听会无聊之时一般愿意翻翻眼前资料。然后特制了自己的名片,反面大大的字体说明自己的融资愿望。果然,他被红杉一下子发现,用了极短的时间就完成了TERM SHEET。
庞君也是做个人网站站长出身,曾经拥有无数网站。参加第2届站长年会时,碰到一个长者,名曰薛蛮子(音),老者问他在做什么。庞骄傲地说我在做A,还有B,还有C,还有DFJ。老者无语,之后说,我用我几十年的经历告诉你一件事:FOCUS!人不专注,万事不成。庞君为之惊醒,于是06年用了101%的力气来做51.com,方取得如此不蜚之成绩。
1、庞升东 - 51.com创始人
此君胸怀大志,做事大开大合,敢打敢干,是新一代互联网枭雄。据说,他24岁即成为百万富翁,创立51之前,一掷98万购得51域名,再个人投入上千万前期资金打造51流量。第一轮融资获得红杉和SIG共计600万美圆投资,第二轮投资也不日即将结束。
庞君的融资心得是:第一,要看你所在行业的市场规模总共有多大,以及你自己能够赢得多少分额;第二,你能够赢得多大蛋糕取决于你的团队实力;第三,凡是预则立,融资前一定要作好准备。庞君甚至分享了他吸引VC注意的一些小技巧:参与某投资会议,把介绍自己项目的几页纸放在一个FOUNDER里,逐一放到头两排嘉宾的桌面上,他们听会无聊之时一般愿意翻翻眼前资料。然后特制了自己的名片,反面大大的字体说明自己的融资愿望。果然,他被红杉一下子发现,用了极短的时间就完成了TERM SHEET。
庞君也是做个人网站站长出身,曾经拥有无数网站。参加第2届站长年会时,碰到一个长者,名曰薛蛮子(音),老者问他在做什么。庞骄傲地说我在做A,还有B,还有C,还有DFJ。老者无语,之后说,我用我几十年的经历告诉你一件事:FOCUS!人不专注,万事不成。庞君为之惊醒,于是06年用了101%的力气来做51.com,方取得如此不蜚之成绩。
9月26
一、什么是DLL
DLL是Dynamic Link Library的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL 文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:\WindowsSystem目录下
二、修改DLL文件的具体应用
在系统的组策略和注册表中,我们可以修改一些键值来优化我们的系统,并加强操作系统的安全性。可是,对于限制下载、禁止删除文件等功能,我们无法通过上述的操作来完成,这只有通过修改系统DLL文件来实现。目前,我们通过修改系统的DLL文件,可以实现禁止删除文件、禁止IE下载、禁止IE另存为、禁止文件打开方式等功能。
三、系统中部分DLL文件的功能
1、Browselc.dll IE所需要调用的库文件DLL结构雏形就是它了。
2、Shdoclc.dll 系统窗口及设置等,如删除文件、重命名。
3、Shell32.dll 系统窗口及设置等,如删除文件、重命名。
4、Cryptui.dll IE控件下载及提示对话框程序。
DLL是Dynamic Link Library的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL 文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:\WindowsSystem目录下
二、修改DLL文件的具体应用
在系统的组策略和注册表中,我们可以修改一些键值来优化我们的系统,并加强操作系统的安全性。可是,对于限制下载、禁止删除文件等功能,我们无法通过上述的操作来完成,这只有通过修改系统DLL文件来实现。目前,我们通过修改系统的DLL文件,可以实现禁止删除文件、禁止IE下载、禁止IE另存为、禁止文件打开方式等功能。
三、系统中部分DLL文件的功能
1、Browselc.dll IE所需要调用的库文件DLL结构雏形就是它了。
2、Shdoclc.dll 系统窗口及设置等,如删除文件、重命名。
3、Shell32.dll 系统窗口及设置等,如删除文件、重命名。
4、Cryptui.dll IE控件下载及提示对话框程序。
